Une faille extrêmement critique découverte dans Winamp Player

 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours


Par Arnaud Devillard (01net) - Un groupe de recherche en sécurité a découvert une faille dans les « skins » de Winamp. Faute de correctif disponible, il est déconseillé de télécharger le logiciel.

 Boxor, MMD3, Syrogenesis, Megaman X, K-Jofol (sic !)... Les habillages destinés à personnaliser la présentation du lecteur audio numérique Winamp ont des noms aussi colorés que leurs graphismes. Mais un peu comme pour l'amanite phalloïde, aussi élégante que dangereuse, il va falloir se tenir à distance quelques temps des ces « skins », téléchargeables sur le site du créateur de Winamp, NullSoft.

K-Otik , un groupe de chercheurs spécialisés dans la sécurité informatique, vient de découvrir

 

une faille permettant une intrusion dans les machines des utilisateurs qui les auront téléchargés ces « skins ». Suite à plusieurs rapports d'incidents adressés à K-Otik par des utilisateurs, le groupe a mené sa petite enquête. Des internautes malveillants utilisent une vulnérabilité de Winamp, située dans le fichier .zip des « skins », pour exécuter des programmes malicieux à partir de sites Web ou de canaux de chat.

La méthode consiste à créer un habillage (on peut soumettre une nouvelle « skin » à NullSoft, sur son site) et d'inclure dans le fichier un programme exécutable qui ouvrira alors une porte sur l'ordinateur de l'utilisateur. Le pirate pourra ainsi y introduire des virus, prendre le contrôle de la machine, exécuter d'autres programmes...

Pas encore d'antidote - Sur Internet Explorer 6 et avec la version Winamp 5.04, les utilisateurs sont d'autant plus à la merci de ce genre d'attaque qu'ils n'ont rien d'autre à faire, pour en être victime, que de télécharger un habillage infecté.

« Winamp est un produit populaire , ajoute Chaouki Bekar, cofondateur de K-Otik, ce type de faille est donc une aubaine pour tous les pirates et les créateurs de virus, trojan, spywares... » . K-Otik a pris l'initiative de dévoiler le problème, car ni NullSoft ni sa maison-mère AOL ne semblent avoir réagi. « Le groupe NullSoft/AOL connaît désormais cette vulnérabilité, mais aucun patch n'est disponible. L'immobilisme des auteurs de Winamp nous a mené à déconseiller fortement l'utilisation de Winamp Player. »

K-Otik n'est pas le seul à s'alarmer. Spécialiste de l'information sur les virus en circulation, le site Secunia a qualifié la faille dans Winamp de « extrêmement critique » .

Commentaire K-OTik Security - Depuis le 22 Juillet 2004, nous avons reçu plusieurs rapports d'incidents concernant l'exploitation d'une supposée vulnérabilité inconnue d'Internet Explorer. Les investigations menées par la Cellule Veille de K-OTik Security ont mis en évidence l'existence d'un exploit de type zero-day (dit "privé") développé et utilisé par certains blackhats, et visant une vulnérabilité critique de Winamp (et non pas d'Internet Explorer). Cet exploit a été utilisé dans des compromissions de machines via des canaux IRC, et via des sites web malicieux installant des trojans et des spywares.

Update : Nullsoft vient de publier Winamp v5.05, corrigeant cette vulnérabilité (cf. Advisory)

» Advisory K-OTik : Winamp Skin File Arbitrary Code Execution Vulnerability
» Détails Techniques : Winamp 5.04 Skin File (.wsz) Remote Code Execution Exploit

Changelog :
26 Août 2004 (18h22) : Version Initiale
28 Août 2004 (14h30) : Correctif Winamp disponible
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits